NOTICE DE PROTECTION DES DONNEES PERSONNELLES
A. Introduction
L’Association Romande des Intermédiaires Financiers SA (« ARIF ») attache une grande importance à la protection des données personnelles de ses membres et/ou des éventuels candidats et s’engage à traiter leurs données dans le respect de la Loi fédérale sur la protection des données du 25 septembre 2020 (« LPD ») et de l’Ordonnance sur la protection des données du 31 août 2022 (« OPDo »).
La présente notice (« Notice ») vise à informer tout membre (« Membre ») et/ou chacun des candidats (« Candidat ») des types de données personnelles traitées, des bases légales et des finalités du traitement, ainsi que des droits du Membre et/ou du Candidat. Elle complète les Statuts, les Règlements et les Directives applicables de l’ARIF.
On entend par données personnelles (« Données ») toutes les informations concernant une personne physique identifiée ou identifiable (art. 5 let. a LPD). Cela comprend les données relatives à une personne identifiée de même que les données objectives qui, seules ou dans leur ensemble, permettent d’identifier une personne.
Par traitement on entend toute opération relative à des Données, quels que soient les moyens et procédés utilisés, notamment la collecte, l’enregistrement, la conservation, l’utilisation, la modification, la communication, l’archivage, l’effacement ou la destruction de données (art. 5 let. d LPD).
Le traitement peut également porter sur des Données dites sensibles (« Données Sensibles ») au sens de l’art. 5 let. c LPD (par ex. les données sur des poursuites ou sanctions pénales et administratives).
B. Responsable du traitement & Interlocuteurs pour les demandes
a) Le responsable du traitement (art. 5 let. j LPD)
L’ARIF, en sa qualité d’organe fédéral et de « responsable du traitement » des Données, peut être contactée par écrit à l’adresse suivante :
Association Romande des Intermédiaires Financiers SA
8 rue de Rive
1204 Genève
Courriel : info@arif.ch
b) Votre interlocuteur pour les questions relatives à la protection des données (art. 10 al. 4 LPD)
Conformément à l’art. 10 al. 4 LPD et de l’art. 25 OPDo, l’ARIF a désigné un conseiller à la protection des données auquel vous pouvez adresser toutes vos questions et demandes relatives au droit de la protection des données : Isabelle Hering, DPO Externe, DPO Associates Sarl, Place du Marché 1,1260 Nyon, contactdpo@dpo-associates.ch
c) Le Préposé fédéral à la protection des données et à la transparence
Pour toute question générale sur la protection des données, vous pouvez en outre vous adresser au Préposé fédéral à la protection des données et à la transparence (« PFPDT ») (art. 58 al. 1 let. a, c et d LPD), à l’adresse suivante :
Préposé fédéral à la protection des données et à la transparence PFPDT
Feldeggweg 1
3005 Berne
Pour plus de détails et pour d’autres canaux de communication, nous vous renvoyons au site web du PFPDT (https://www.edoeb.admin.ch/edoeb/fr/home.html).
C. Types de Données traitées
Dans le cadre de son activité, l’ARIF est amenée à collecter et à traiter des Données sur le Membre et/ou le Candidat et sur des personnes liées à ce dernier (par exemple les ayants droit économiques, les représentants autorisés, etc.). Le Membre et/ou le Candidat s’engage à transmettre la présente Notice à ces personnes pour leur information.
Le Membre et/ou le Candidat et chaque personne liée sont désignés ci-après par le terme de « Personne Concernée ».
Les catégories de Données traitées sont notamment les suivantes :
· les données relatives à l’identité: nom, prénom, date de naissance, sexe, lieu d’origine, nationalité, langue maternelle, adresse, adresse électronique, numéro de téléphone, numéro AVS;
· les données relatives à la formation, à la profession et aux rapports de travail: formation, formation continue, qualifications et activités professionnelles, situation professionnelle et développement professionnel, comportement en affaires, lieu de travail, employeur y compris son numéro d’identification des entreprises (IDE), création, déroulement et fin des rapports de travail;
· les données relatives à la situation financière, à la situation patrimoniale et aux assurances;
· les extraits du registre du commerce, du registre des poursuites, du registre des faillites
· et du casier judiciaire;
· les rapports, évaluations et autres documents de sociétés d’audit et de personnes mandatées par l’ARIF;
· les rapports et décisions d’organismes de surveillance, d’organismes d’autorégulation et d’organisations professionnelles;
· les dossiers d’autorités pénales et d’autres autorités;
· les jugements, décisions et autres documents officiels;
· les données relatives à des mesures relevant du droit du travail, à des mesures administratives et à des mesures pénales;
· les rapports sur des audits et enquêtes internes d’assujettis;
· les données nécessaires à la sélection des personnes mandatées par l’ARIF et à l’exécution de leurs tâches;
· les données qui parviennent à l’ARIF en vertu des obligations légales de renseigner et d’annoncer;
· les données que des tiers ont portées à la connaissance de l’ARIF ;
· les autres données dont l’ARIF a connaissance dans le cadre de l’accomplissement de son mandat légal ; et
· les données sensibles (telles que les sanctions pénales et administratives)
En principe, ces informations sont collectées directement auprès de la Personne Concernée et, dans certains cas, à partir de sources externes donnant des informations accessibles au public comme les registres publics (registre du commerce par exemple) ou auprès de tiers.
D. Bases légales et finalité du traitement des Données
L’ARIF traite les Données des Personnes Concernées dans le cadre de son obligation de surveillance des intermédiaires financiers en vertu de l’art. 12 lit. c de la Loi fédérale concernant la lutte contre le blanchiment d’argent et le financement du terrorisme du 10 octobre 1997 (« LBA »).
Ce faisant, l’ARIF agit en tant qu’organe fédéral au sens la LPD dans le cadre de son activité de surveillance découlant de la LBA.
L’ARIF traite les Données des Personnes Concernées avec les finalités suivantes :
· Identifier la Personne Concernée lors de l’entrée en relation contractuelle ;
· Effectuer des contrôles légaux et autres contrôles de conformité réglementaire (par exemple, pour se conformer à la réglementation anti-blanchiment d’argent ou la mise en œuvre des sanctions internationales) ;
· Être en mesure de répondre à toute procédure ou requête éventuelle d’une autorité administrative de surveillance ou d’une autorité judiciaire.
A moins que la Personne Concernée y ait consenti, l’ARIF ne traite pas les données des Personnes Concernées à des fins de prospection commerciale (marketing) et ne fait pas de « profilage » au sens de la LPD, soit le traitement automatisé de Données consistant à utiliser ces données pour évaluer certains aspects personnels relatifs à une personne, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne.
L’ARIF ne prend pas de décisions individuelles automatisées au sens de l’art. 21 LPD. Aucune information supplémentaire à cet égard n’est donc nécessaire.
Le site web de l’ARIF n’utilise que des cookies de navigation (les petits fichiers de textes qui sont enregistrés dans la chronologie du navigateur du disque dur et permettant au site internet de reconnaître l’utilisateur en cas de nouvelle consultation et de reprendre automatiquement les paramètres que l’utilisateur a modifiés).
E. Consentement exprès
Lorsque le consentement est requis, les Données des Personnes Concernées (y compris les Données Sensibles) sont traitées sur la base de leur consentement exprès lequel a été donné (art. 34 al. 4 let. d LPD) en signant et en acceptant les conditions de la directive 1 et/ou en cochant activement la case sur le site internet de l’ARIF.
F. Confidentialité
L’ARIF est soumise à des obligations de confidentialité dans la limite des obligations légales qui lui incombent vis-à-vis des autorités.
G. Communication des Données
Dans le cadre de la fourniture de ses services, l’ARIF peut être amenée à communiquer des Données à :
· Des autorités judiciaires ou administratives (par exemple des autorités de surveillance) ;
· Des sous-traitants dans le cadre d’externalisations de services qui sont contractuellement tenus à la confidentialité ;
En principe l’ARIF ne communique pas de données à l’étranger. Si une communication est effectuée vers un Etat qui n’offre pas un niveau de protection adéquat au sens de la LPD, l’ARIF veille à mettre en place des garanties appropriées sur le plan technique, opérationnel ou juridique pour protéger les Données (à cette fin, nous utilisons les clauses contractuelles types révisées de la Commission européenne, disponibles, à moins que le destinataire ne soit déjà soumis à un ensemble de règles légalement acceptées visant à garantir la protection des données et que nous ne puissions invoquer une exception).
H. Durée de conservation des Données
La période durant laquelle les Données sont conservées dépend du délai de conservation légal et réglementaire applicable aux activités de l’ARIF, ainsi que de la finalité du traitement des données.
À la fin de l’activité de surveillance, les Données sont généralement traitées afin d’accomplir d’autres obligations légales, par exemple pour respecter les obligations de conservation prévues par les dispositions sur l’archivage applicables, notamment celles de la Loi fédérale sur l’archivage du 26 juin 1998 (« LAr ») et l’Ordonnance relative à la loi fédérale sur l’archivage du 8 septembre 1999 (« OLAr »).
I. Droits de chaque Personne Concernée en lien avec ses Données
Dans le cadre et dans les limites de la réglementation applicable, chaque Personne Concernée dispose des droits suivants en lien avec ses Données :
· Droit d’accès (art. 25 LPD)
En vertu de l’art. 25 LPD, vous avez le droit de nous demander si nous traitons des Données vous concernant. Les restrictions au droit d’accès et le refus de donner droit à l’accès prévus par la loi (art. 26 s. LPD) demeurent réservés.
Pour ce faire, il se peut que nous devions vérifier votre identité. Dans ce cas nous vous demanderons une copie d’un document d’identité valable (passeport ou carte d’identité) à votre demande, à des fins de vérification de l’identité (art. 16 al. 5 OPDo).
Ce droit d’accès peut être restreint en fonction d’intérêts prépondérants qui l’exigent ou si la communication des informations est susceptible de compromettre une enquête, une instruction ou une procédure judiciaire ou administrative.
· Droit à la remise ou à la transmission des données personnelles (art. 28 LPD)
En vertu de l’art. 28 LPD, vous avez le droit, à certaines conditions, d’exiger que nous vous remettions les Données que vous nous avez communiquées sous un format électronique couramment utilisé ou que nous transmettions ces données à un tiers que vous aurez désigné.
· Droit de faire rectifier ou effacer les données et de restreindre leur traitement (art. 41 LPD)
En vertu de l’art. 41 al. 2 let. a LPD, vous avez le droit d’exiger la rectification de Données inexactes, voire leur suppression ou leur destruction. Vous avez en outre le droit d’exiger que l’ARIF publie ou communique à des tiers sa décision concernant la rectification, l’effacement ou la destruction des données, l’opposition à une communication ou la mention du caractère litigieux des Données (art. 41 al. 2 let. b LPD).
Ce droit n’est pas absolu et peut être restreint en fonction d’intérêts prépondérants qui exigent la poursuite du traitement des Données et notamment l’obligation légale de conserver les données.
· Droit d’opposition (art. 37 LPD)
Conformément à l’art. 37 LPD, vous pouvez exiger le blocage de la communication de Données déterminées ou vous opposer à cette communication, si vous rendez vraisemblable un intérêt digne de protection et pour autant que l’ARIF ne soit pas juridiquement tenu de procéder à cette communication ou que le défaut de communication ne risque pas de compromettre l’accomplissement de ses tâches.
· Droit de révocation du consentement relatif à la protection des données (art. 34 al. 4 let. b a contrario)
Vous pouvez révoquer en tout temps le consentement que vous avez donné à l’ARIF pour que cette dernière puisse traiter vos Données (art. 34 al. 4 let. b LPD a contrario). La légalité du traitement des données pendant la période allant du consentement à la révocation du consentement n’en est pas affectée.
J. Obligations de chaque Personne Concernée en lien avec ses Données
Le Membre et/ou le Candidat s’engage à transmettre la présente Notice à toutes les Personnes Concernées.
En cas de modification des Données, chaque Personne Concernée est tenue d’en informer l’ARIF dès que possible de manière à ce l’ARIF puisse maintenir les Données exactes et à jour.
K. Sécurité
L’ARIF prend des mesures de sécurité adéquates afin d’assurer et de garantie la sécurité, la confidentialité, l’intégrité, la disponibilité et la traçabilité des Données, de les protéger contre tout traitement non autorisé ou illégal, et de minimiser le risque de perte, d’altération accidentelle, de communication ou d’accès non autorisé.
Les mesures de sécurité techniques et organisationnelles peuvent inclure le cryptage et la pseudonymisation des Données, la journalisation, les restrictions d’accès, la conservation de copies de sauvegarde, les instructions données à notre personnel, la conclusion d’accords de confidentialité et la surveillance.
L’ARIF exige également de ses sous-traitants de prendre des mesures de sécurité appropriées. Cependant, les risques de sécurité ne peuvent jamais être totalement exclus ; il existe toujours des risques résiduels.
L. Dispositions finales
L’ARIF se réserve le droit de modifier la présente Notice en tout temps.
L’ARIF recommande donc à toute Personne Concernée de consulter régulièrement la présente Notice, laquelle est publiée sur son site internet, à l’adresse suivante :
https://arif.ch/IMG/pdf/ARIF-Data-Policy.pdf
La dernière ligne de la présente Note mentionne la date de sa dernière actualisation.
***
Genève, le 19.07.2024
